Tee-se-itse: Rautapalomuurit (pfSense, Sophos UTM..) (Mitä käytätte ja miksi juuri se vaihtoehto?)

Eikö tuo kuitenkin ole jo L3, kun eri vlan välillä reititetään ja luultavasti niistä verkoista on tarkoitus päästä myös ulkoverkkoon? Tuohon Khauronin asiaan viitaten.
Ymmärsin, että halu oli hävittää pfSensen ja muun L2-infran välissä oleva hallittava kytkin ja käyttää pfSenseä reitittimen/palomuurin lisäksi myös runkokytkimenä, eli kierrättää eri kerroksista tulevaa tagattua ja tagaamatonta liikennettä bridgen kautta. ref. postaus #13501069
 
Tuli hommattua kiinalainen pommi HUNSN RJ35. :D

61Xfkhe+8LL._AC_SL1500_.jpg


1695504759184.png

1695504772073.png

Prosessori: Intel i3-N305 eli Alder Lake-N sarjaa ja kaikki E-ytimiä.
Muisti: Crucial RAM 8GB DDR5 4800MHz (CT8G48C40S5)

Levy: Crucial P3 500GB M.2 PCIe Gen3 NVMe
Verkkokortit: 4 x 2.5GbE I226-V

Paketin virrankulutus on noin 12W idlessä kun kaksi verkkokorttia käytössä. Kaikki bios jutut on oletuksena ja täytyy katsoa vielä mitä säätöjä on prosessoriin. Lämmöt näyttää pysyvän hyvällä tasolla vaikka on fanless.
Pari viikkoa nyt ollut pfsense käytössä tuo laite. Ei ongelmia. Iperffiä testasin niin portit toimii 2,5GbE. Virtalähde on joku Dajing merkkinen niin tilasin siihen MeanWell virtalähteen, mutta ei ole vielä tullut.

En ole vielä päättänyt, että jääkö pfsense käyttöön. Pitää ajaa jotain kuormitus juttuja vielä winkkarilla niin näkee paremmin lämpö jne. jutut. Servethehome foorumilla porukka pyörittää Proxmoxia tuollaisella eli voisi kokeilla. Tuo tukee Intelin mukaan maksimissaan 16GB muistia, mutta muisti on nykyään halpaa niin hommasin 32GB kamman. Vähän aikaa se bootissa sitä mietti, mutta lähti toimimaan. Nyt kun boottaa niin ei mieti ja käynnistyy heti.

1696584185298.png
 
Viimeksi muokattu:
Pari viikkoa nyt ollut pfsense käytössä tuo laite. Ei ongelmia. Iperffiä testasin niin portit toimii 2,5GbE. Virtalähde on joku Dajing merkkinen niin tilasin siihen MeanWell virtalähteen, mutta ei ole vielä tullut.

En ole vielä päättänyt, että jääkö pfsense käyttöön. Pitää ajaa jotain kuormitus juttuja vielä winkkarilla niin näkee paremmin lämpö jne. jutut. Servethehome foorumilla porukka pyörittää Proxmoxia tuollaisella eli voisi kokeilla. Tuo tukee Intelin mukaan maksimissaan 16GB muistia, mutta muisti on nykyään halpaa niin hommasin 32GB kamman. Vähän aikaa se bootissa sitä mietti, mutta lähti toimimaan. Nyt kun boottaa niin ei mieti ja käynnistyy heti.

1696584185298.png
Aika överi on pfsenselle kyllä tuo :D Noh eihän tuo rauta nykyisin paljoa maksa mutta jotenkin tuntuu turhalta kun prossu käy pahimmassa rasituksessa 5%:ssa ja muistia ei saa menemään yli 2-4gt vaikka miten vetelisi kaikki mahdolliset lisäpalikat käyttöön.
 
Jos nyt unohdetaan pfSensen perseilyt, niin kummalla rakentaisi juuri nyt setupin, pf vai opn? Jotenkin tuo
Aika överi on pfsenselle kyllä tuo :D Noh eihän tuo rauta nykyisin paljoa maksa mutta jotenkin tuntuu turhalta kun prossu käy pahimmassa rasituksessa 5%:ssa ja muistia ei saa menemään yli 2-4gt vaikka miten vetelisi kaikki mahdolliset lisäpalikat käyttöön.
Juurikin tästä syystä tuo ns. sattumalta käsiin tullut Mac Mini M1 reilun 400€ hintaan tulee itsellä monitoimikoneeksi, paukut riittää helposti ja 4 purkkia on jatkossa 1 siisti purkki :).
 
Taitaa olla aika luovuttaa.

Saan kyllä x64-alustan emuloitua ja testiasennukset sekä pfSense että OPNsense jopa boottaamaankin, mutta tuo virtuaalikoneen suorituskyky jää kysymysmerkiksi.

10Gb -Thunderbolt -verkkorautaa tilattuna myös, ja ihan luotettavasti kaiketi toimivatkin mutta hintaakin alkaa sitten jo olla. Ulkoinen 4tb levy koteloineen varmuuskopiokäyttöön ja 10Gb-dongle on ekan 500€ ja Mac Mini siihen päälle, ei tuo ihan ilmaistakaan enää ole.

Jos lähdetään dedikoidun raudan tielle, niin Best pfsense router hardware with AES-NI (same day shipping from Stockholm) nämä vaikuttavat asialliselta ja polvillaan oleva kruunukin puolellaan.

Virtualisointi edelleen mielessä, sama purkki pyörittäisi ainakin xxxSensen, Home Assistantin, Omada / Unifi Controllerin ja ehkäpä myös jotain kautta OneDriven paikallista varmuuskopiota.

Valmis purkki vai itse rakentamaan on varmaan se seuraava kysymys? 10gb -kalustoa teklagerilla ei ole, siitä ehkä kuitenkin haluaisin pitää kiinni. 4tb M.2 NVMe-levy purkkiin joka tapauksessa, ja muistia tarpeeksi. Passivisuus ei pakollista, hyvän kotelon kanssa äänetön 120mm tuuletin on järkevä.
 
Ehkä olen vanhanaikainen, mutta itse tykkään, kun reititin on ihan oma purkkinsa kotikäytössä. Ollut pari vuotta Teklagerin APU2E4 eikä mitään moitteen sanaa ole. Nykyisin saa varmasti halvemmalla nopeampaa kiinarautaa, tietoturvan vuoksi pitäydyn itse kuitenkin avoimen lähdekoodin BIOS laitteissa kodin runkoverkossa.

Aiemmin kotiverkko oli 10GbE kytkimen kautta samalla reitittimellä, APU:lta kaksi porttia LAGGina kytkimeen. Kymppigigan kytkimet kävivät niin pirun kuumina (ja sitä kautta, äänekkäinä) joten palasin takaisin perus 1GbE karvalakkiverkkoon, loppujen lopuksi ison datan määrä verkkolevypalvelimeen ei maksanut meteliä ja kymppigigaisten kytkinten sähkönkulutusta.

Mitä tulee HomeAssistanttiin ja Unifi controlleriin, tuossakin kannattaa miettiä, onko järkevää laittaa kaikkia munia niin sanotusti yhteen koriin ja ajaa kaikkea mahdollista samalla raudalla kuin itse reititintä. Moni NAS purkki omaa nykyisin mahdollisuuden ajaa Dockeria, itselläkin pyörii Unraidissa konttina molemmat HA ja Unifi controlleri joten verkkolaitteet saavat hoitaa omat työnsä rauhassa.
 
Ehkä olen vanhanaikainen, mutta itse tykkään, kun reititin on ihan oma purkkinsa kotikäytössä. Ollut pari vuotta Teklagerin APU2E4 eikä mitään moitteen sanaa ole. Nykyisin saa varmasti halvemmalla nopeampaa kiinarautaa, tietoturvan vuoksi pitäydyn itse kuitenkin avoimen lähdekoodin BIOS laitteissa kodin runkoverkossa.

Aiemmin kotiverkko oli 10GbE kytkimen kautta samalla reitittimellä, APU:lta kaksi porttia LAGGina kytkimeen. Kymppigigan kytkimet kävivät niin pirun kuumina (ja sitä kautta, äänekkäinä) joten palasin takaisin perus 1GbE karvalakkiverkkoon, loppujen lopuksi ison datan määrä verkkolevypalvelimeen ei maksanut meteliä ja kymppigigaisten kytkinten sähkönkulutusta.

Mitä tulee HomeAssistanttiin ja Unifi controlleriin, tuossakin kannattaa miettiä, onko järkevää laittaa kaikkia munia niin sanotusti yhteen koriin ja ajaa kaikkea mahdollista samalla raudalla kuin itse reititintä. Moni NAS purkki omaa nykyisin mahdollisuuden ajaa Dockeria, itselläkin pyörii Unraidissa konttina molemmat HA ja Unifi controlleri joten verkkolaitteet saavat hoitaa omat työnsä rauhassa.
Hyviä pointteja. Mulla on nyt tuo Omada-sarjan 10Gb -kytkin runkoja, ja siinä 10Gb linkkiä käyttävä 6E -tukiasema perässä, ne ehkä ajattelin tässä vaiheessa pitää ja heittää seinään tuon surkeaksi (softaltaan) osoittautuneen reitittimen vain.

Enemmän tuon all-in-one -henkisen lähestymisen haasteena voisi ottaa, toki sitten kiva kun vian tai huonon päivityksen osuessa kohdalle palauttaa edellisen snapshotin koneeseen jne. Kiva tietty sit myös panostaa siihen yhteen koneeseen.
 
Hyviä pointteja. Mulla on nyt tuo Omada-sarjan 10Gb -kytkin runkoja, ja siinä 10Gb linkkiä käyttävä 6E -tukiasema perässä, ne ehkä ajattelin tässä vaiheessa pitää ja heittää seinään tuon surkeaksi (softaltaan) osoittautuneen reitittimen vain.

Enemmän tuon all-in-one -henkisen lähestymisen haasteena voisi ottaa, toki sitten kiva kun vian tai huonon päivityksen osuessa kohdalle palauttaa edellisen snapshotin koneeseen jne. Kiva tietty sit myös panostaa siihen yhteen koneeseen.
Jos verkkoon pitää päästä etänä, niin AIO-ratkaisun kanssa saa testata hyvin, että VM varmasti nousee automaattisesti bootin jälkeen. CPU-kuormaa saa hillittyä hieman kun VFIO:lla antaa 10GbE-kortin suoraan virtuaalille.
 
En nyt vieläkään saa vedettyä liipaisimesta suuntaan tai toiseen. Onko kokemuksia ARM-tuellisista ympäristöistä kuten IPFire, RouterOS? OpenWRT olen joskus käyttänyt itsekin, kai sekin vaihtoehto voisi olla. Onko nuo vastaantulijoita pfSense nähden?
 
Hyviä pointteja. Mulla on nyt tuo Omada-sarjan 10Gb -kytkin runkoja, ja siinä 10Gb linkkiä käyttävä 6E -tukiasema perässä, ne ehkä ajattelin tässä vaiheessa pitää ja heittää seinään tuon surkeaksi (softaltaan) osoittautuneen reitittimen vain.

Enemmän tuon all-in-one -henkisen lähestymisen haasteena voisi ottaa, toki sitten kiva kun vian tai huonon päivityksen osuessa kohdalle palauttaa edellisen snapshotin koneeseen jne. Kiva tietty sit myös panostaa siihen yhteen koneeseen.
Olisiko mahdollista pistää useampia koneita nurkkiin pyörimään ja rakentaa esim proxmoxilla virtualisointiklusteri, TOsiaan kriittisten palveluiden pyörittäminen yhdellä koneella ei kuulosta kovinkaan hyvältä idealta, entä kun tuo yksi rauta hajoaa, homma oli sitten siinä kunnes korvaavaa palikkaa saadaan tilalle. Itse ratkaisin tämän ongelman juuri kuvailemallani tavalla. Edes sähkönkulutus ei tule oikeilla rautavalinnoilla suureksi ongelmaksi.
 
Olisiko mahdollista pistää useampia koneita nurkkiin pyörimään ja rakentaa esim proxmoxilla virtualisointiklusteri, TOsiaan kriittisten palveluiden pyörittäminen yhdellä koneella ei kuulosta kovinkaan hyvältä idealta, entä kun tuo yksi rauta hajoaa, homma oli sitten siinä kunnes korvaavaa palikkaa saadaan tilalle. Itse ratkaisin tämän ongelman juuri kuvailemallani tavalla. Edes sähkönkulutus ei tule oikeilla rautavalinnoilla suureksi ongelmaksi.

Kotikäyttöön suosin enemmän dedikoitua rautaa ja sille varakone samalla konffilla, toki jos on säätämisen halua niin mikäs siinä.
 
Kotikäyttöön suosin enemmän dedikoitua rautaa ja sille varakone samalla konffilla, toki jos on säätämisen halua niin mikäs siinä.
Jep, Itsekin suosin palomuureja dedikoidulla raudalla, mutta kaikki muut pyörivätkin sitten virtuaalisesti. Olen päätynyt pitämään jo tietoturvan vuoksi palomuurin eri koneella, opnsensellä kyllä saat rakennettua myös kahdennetun rautamuurin, joka itselläni seuraavaksi projektina.
 
Jep, Itsekin suosin palomuureja dedikoidulla raudalla, mutta kaikki muut pyörivätkin sitten virtuaalisesti. Olen päätynyt pitämään jo tietoturvan vuoksi palomuurin eri koneella, opnsensellä kyllä saat rakennettua myös kahdennetun rautamuurin, joka itselläni seuraavaksi projektina.
Avaisitko hieman lisää tätä, mitä tämä oikein tarkoittaa?
 
Käytännössä opnsense pyörii kahdella koneella, jos ensisiainen muuri menee alas, siirtyy liikenne kulkemaan backupmuurin kautta.

Minulla on varakone nurkassa odottamassa päämuurin hajoamista, toinen tapa on peilata Opnsensen ZFS-pooli toiselle levylle mahdollisen levyrikon koittaessa. Tapa toki tuokin minkä esitit.
 
Vikatilanteessa virtuaalikoneen siirto pyörimään uuden raudan päälle onnistuu varmuuskopioista erittäin nopeasti, ja tämä yksi syistä miksi haluan nimenomaa yhden laadukkaan raudan.
 
Päädyin itse lopulta palauttamaan M1 Macin, vaan en silti luovu Applesta vaan vaihdoin erittäin kohtuulliseen hintaan löytyneeseen Intel-pohjaiseen Mac Miniin. Näin pääsee eroon noista pfSensen / OPNsensen ongelmista ARM-tuen kanssa jne. 8gen i7 riittää vääntö omaan käyttöön ja muistit päivitettävissä tarpeen mukaan so-dimm -kammoilla.

Samalla tuli tosin vastaan erittäin kohtuuhintaista dedikoitua rautaa, eli alle 500€ hintaluokkaan 2x SFP+ paikoin varustettua kiinapurkkia: 331.06€ 15% OFF|Topton Newest Soft Router 2*10G SFP 4x Intel i226 V 8x 2.5G LAN i7 10510U NVMe 6*SATA Firewall Appliance Mini PC Proxmox Server| | - AliExpress Vastaavia saa jo N305 -prossullakin 600€ pintaan, jos siis kerralla haluaa järempää niin onnistuu: 453.08€ 50% OFF|Upgraded R86S N Mini Router 12th Generation Intel N100 N305 10G 10 Gigabit WiFi 6 Gigabit 2.5G| | - AliExpress
 
Päädyin itse lopulta palauttamaan M1 Macin, vaan en silti luovu Applesta vaan vaihdoin erittäin kohtuulliseen hintaan löytyneeseen Intel-pohjaiseen Mac Miniin. Näin pääsee eroon noista pfSensen / OPNsensen ongelmista ARM-tuen kanssa jne. 8gen i7 riittää vääntö omaan käyttöön ja muistit päivitettävissä tarpeen mukaan so-dimm -kammoilla.

Samalla tuli tosin vastaan erittäin kohtuuhintaista dedikoitua rautaa, eli alle 500€ hintaluokkaan 2x SFP+ paikoin varustettua kiinapurkkia: 331.06€ 15% OFF|Topton Newest Soft Router 2*10G SFP 4x Intel i226 V 8x 2.5G LAN i7 10510U NVMe 6*SATA Firewall Appliance Mini PC Proxmox Server| | - AliExpress Vastaavia saa jo N305 -prossullakin 600€ pintaan, jos siis kerralla haluaa järempää niin onnistuu: 453.08€ 50% OFF|Upgraded R86S N Mini Router 12th Generation Intel N100 N305 10G 10 Gigabit WiFi 6 Gigabit 2.5G| | - AliExpress
Minkälaisia ongelmia kohtasit pfSensen ja opnSensen arm-versioilla. itse harkitsin uusiksi palomuuripurkeiksi jotain arm-ratkaisua, mutta taitaa olla ongelmien kerjäämistä pistää sellainen vakavaan tuotantokäyttöön ja prossuista lisäksi saattaisi loppua rankemmassa menossa suorituskyky kesken. Mihinköhän ratkaisuun tässä päätyisi, yhteytenä 1000/100 kuitu, tarkoituksena kahdentaa muurit ja pistää masiinaan yksi intelin neliporttinen verkkokortti. Masiina pyörittäisi niin ips ratkaisuna suricataa kuin vpn:nä openvpn ja wireguardia, eli prossusta olisi hyvä löytyä aes/ni tuki, käytetty rauta ei olisi myöskään mikään ongelma, eli ehkä jotain shuttlen koneitakin voisi harkita.
 
Päädyin itse lopulta palauttamaan M1 Macin, vaan en silti luovu Applesta vaan vaihdoin erittäin kohtuulliseen hintaan löytyneeseen Intel-pohjaiseen Mac Miniin. Näin pääsee eroon noista pfSensen / OPNsensen ongelmista ARM-tuen kanssa jne. 8gen i7 riittää vääntö omaan käyttöön ja muistit päivitettävissä tarpeen mukaan so-dimm -kammoilla.

Samalla tuli tosin vastaan erittäin kohtuuhintaista dedikoitua rautaa, eli alle 500€ hintaluokkaan 2x SFP+ paikoin varustettua kiinapurkkia: 331.06€ 15% OFF|Topton Newest Soft Router 2*10G SFP 4x Intel i226 V 8x 2.5G LAN i7 10510U NVMe 6*SATA Firewall Appliance Mini PC Proxmox Server| | - AliExpress Vastaavia saa jo N305 -prossullakin 600€ pintaan, jos siis kerralla haluaa järempää niin onnistuu: 453.08€ 50% OFF|Upgraded R86S N Mini Router 12th Generation Intel N100 N305 10G 10 Gigabit WiFi 6 Gigabit 2.5G| | - AliExpress
Jotain testiä tuollaisesta.
 
Minkälaisia ongelmia kohtasit pfSensen ja opnSensen arm-versioilla. itse harkitsin uusiksi palomuuripurkeiksi jotain arm-ratkaisua, mutta taitaa olla ongelmien kerjäämistä pistää sellainen vakavaan tuotantokäyttöön ja prossuista lisäksi saattaisi loppua rankemmassa menossa suorituskyky kesken. Mihinköhän ratkaisuun tässä päätyisi, yhteytenä 1000/100 kuitu, tarkoituksena kahdentaa muurit ja pistää masiinaan yksi intelin neliporttinen verkkokortti. Masiina pyörittäisi niin ips ratkaisuna suricataa kuin vpn:nä openvpn ja wireguardia, eli prossusta olisi hyvä löytyä aes/ni tuki, käytetty rauta ei olisi myöskään mikään ongelma, eli ehkä jotain shuttlen koneitakin voisi harkita.
Applen M1 vääntö riittää kyllä, ja erittäin energiatehokas prossu samalla. Kysymykseksi jäi lähinnä emuloinnin tehokkuus, kun x64 -emulointina joutuu tekemään. En vienyt ensitestejä pidemmälle, kun palautusikkuna alkoi sulkeutua.
 
Applen M1 vääntö riittää kyllä, ja erittäin energiatehokas prossu samalla. Kysymykseksi jäi lähinnä emuloinnin tehokkuus, kun x64 -emulointina joutuu tekemään. En vienyt ensitestejä pidemmälle, kun palautusikkuna alkoi sulkeutua.

Millä softalla koitit noita sensejä pyöritellä?
 
Millä softalla koitit noita sensejä pyöritellä?
UTM:llä. Ihan hyvin siis kaikki sinällään vaikutti toimivan, mutta suorituskyvyn ollessa tässä isoimpia ajureita en halunnut lopulta rakentaa setupia eri arkkitehtuurin päälle. Jos xSensen saisi ARM -pohjaisena en olisi muuta edes harkinnut.
 
Palomuurikoneen päivitys alkaisi olla ajankohtainen ja etsiskelisin sopivat vaatimukset täyttäviä purkkeja, tarkoitus olisi tosiaan kahdentaa opnsensemuuri ja ehtona olisi, että masiinaan menisi ainakin yksi intelin neliporttinen verkkokortti, emolevyllä olevista sfp+ porteista toki plussaa, yhteytenä 1000/100 kuitu ja tarkoitus olisi pyörittää suricataa sekä useampaa vpn-ratkaisua lähinnä openvpn, ja wireguard tuon kautta, niimpä prossusta olisi löydyttävä aes/ni tuki. Masiinan takana tulisi olemaan useita vlaneja ja servereitä joten suorituskyky ei saisi loppua kesken, olisiko raadilla hyviä ehdotuksia purkeista.
 
Vähän säätelin HUNSN RJ35 bios asetuksia. Kuormitin iperfillä laitetta (2.5GbE). Koneessa Belkin USB-C to 2.5Gb Ethernet Adapter.
1697272854742.png

1697272900003.png

1697272943300.png


Idlessä prosessori ja Belkin Conserve Insight -energiamittarilla mitattuna laite vie 11.6W. Kaksi verkkokorttia käytössä.
1697273036217.png


Näillä mennään.
 
Viimeksi muokattu:
Palomuurikoneen päivitys alkaisi olla ajankohtainen ja etsiskelisin sopivat vaatimukset täyttäviä purkkeja, tarkoitus olisi tosiaan kahdentaa opnsensemuuri ja ehtona olisi, että masiinaan menisi ainakin yksi intelin neliporttinen verkkokortti, emolevyllä olevista sfp+ porteista toki plussaa, yhteytenä 1000/100 kuitu ja tarkoitus olisi pyörittää suricataa sekä useampaa vpn-ratkaisua lähinnä openvpn, ja wireguard tuon kautta, niimpä prossusta olisi löydyttävä aes/ni tuki. Masiinan takana tulisi olemaan useita vlaneja ja servereitä joten suorituskyky ei saisi loppua kesken, olisiko raadilla hyviä ehdotuksia purkeista.
Noissa Toptonin kiinapurkeissa on Intelin verkkorautaa ja muutenkin yllättävän laadukkaista komponenteista tehty. Jos on irtomuistit ja ssd niin tilaa barebonena ja hommaa laatua niihin lisäksi. Esimerkiksi juuri tuo aiemmin tässä pureskeltu SFP+ -portein varustettu purkki vaikuttaa loistavalta.
 
Pfsense plus 23.09 beta julkaistu.

OpenSSL has been upgraded to 3.0.10 from 1.1.1 in FreeBSD.
This change was necessary as OpenSSL 1.1.1 reached its End of Life (EOL) on September 11, 2023. This means there will be no security patches for vulnerabilities affecting OpenSSL 1.1.1.
 
Virittelin Dual WANin käyttöön tuohon HUNSN RJ35 purkkiin. Mulla on kaksi liittymää eli Elisa ja DNA. DNA on Tier1 ja Elisa on Tier2 niin hyvin tuntuu toimivan kun irroitin DNA WAN kaapelin. NextDNS CLI myös hanskaa tuon muutoksen.
Mittasin Belkin Conserve Insight -energiamittarilla niin nyt laite vie 12.5W kun kolme verkkokorttia käytössä. Kahdella kortilla oli 11.6W.

Tässä HUNSN RJ35 purkissa on Intel® Ethernet Controller I226-V verkkokortit niin ne kuluttaa vähemmän kuin Intel® Ethernet Controller I225-V.


1697344994390.png
 
Viimeksi muokattu:
Uuden palomuurikoneen metsästys ratkesikin sitten oikein kivuttomasti, tuli löydettyä hyvään hintaan 2x dellin 7050sff konetta i7 6700 prosessoreilla ja 16gt rammilla, raskaasti overkill palomuurikäyttöön, mutta eipä pitäisi suorituskyvyn loppua kesken kovemmassakaan menossa, tuohon vielä intelin neliporttinen verkkokortti ja optiona ehkä 10gbps mellanox.
 
Ohhoh, tarkistin Opnsense 23.1 päivityksiä käsin. Sepäs kertoi, että täytyy tehdä isompi päivitys jumppa 23.7 versioon.


Tässä olikin melko liuta huomioita (suora c-p tuolta releasenotes puolelta).

Migration notes, known issues and limitations:
o The Unbound ACL now defaults to accept all traffic and no longer generates automatic entries. This was done to avoid connectivity issues on dynamic address setups -- especially with VPN interfaces. If this is undesirable you can set it to default to block instead and add your manual entries to pass.
o Dpinger no longer triggers alarms on its own as its mechanism is too simplistic for loss and delay detection as provided by apinger a long time ago. Delay and loss triggers have been fixed and logging was improved. The rc.syshook facility "monitor" still exists but is only provided for compatibility reasons with existing user scripts.
o IPsec "tunnel settings" GUI is now deprecated and manual migration to the "connections" GUI is recommended. An appropriate EoL announcement will be made next year.
o The new OpenVPN instances pages and API create an independent set of instances more closely following the upstream documentation of OpenVPN. Legacy client/server settings cannot be managed from the API and are not migrated, but will continue to work independently.
o The old DynDNS plugin was removed in favor of the newer MVC/API plugin for ddclient. We are aware of the EoL state of ddclient which was unfortunately announced only one year after we started working on the new plugin. We will try to add upstream fixes that have not been released yet and already offer our own ddclient-less Python backend in the same plugin as an alternative.

Pitänee ottaa ja syyslomalla asennella päivitetty versio ja imuroida purkista pölyt. Voisikin asentaa tuon tällä kertaa 64 GB SSD:lle, nykyisen 32 GB sijaan. Ei sillä että siitä olisi tila loppunut. Alle 10 GB näyttää kuluvan.

EDIT: Päivitys asennettu ssh kautta, valikosta 12) ja sitten 23.7 komentojen kautta. alta 200 pingi pakettia tippui muurilta pois päivityksessä. Ei ollut paha.
Ja näyttää siltä, että HA pelaa ja sisäverkon kaikki VLAN:nit toimii kuten niiden pitäisikin. 23.7.5 versio tulikin jo suoraan tähän tällä päivityksellä.
 
Viimeksi muokattu:
Ohhoh, tarkistin Opnsense 23.1 päivityksiä käsin. Sepäs kertoi, että täytyy tehdä isompi päivitys jumppa 23.7 versioon.


Tässä olikin melko liuta huomioita (suora c-p tuolta releasenotes puolelta).

-snip-

Pitänee ottaa ja syyslomalla asennella päivitetty versio ja imuroida purkista pölyt. Voisikin asentaa tuon tällä kertaa 64 GB SSD:lle, nykyisen 32 GB sijaan. Ei sillä että siitä olisi tila loppunut. Alle 10 GB näyttää kuluvan.

Jos et ole jo huomannut, nuo versiot menee vuosi/kuukausi, joten tammikuulta oli sinun edellinen versio. 23.7 taisi olla jo aika iso päivitys, jos en väärin muista.
 
Juu, tuon olen tuosta järkeillyt. Tähän asti (lokakuu 23) tuohon 23.1 versioon on tullut automaattisesti päivitykset jne. mutta nyt tuo tosiaan ilmoitti, että pitää vaihtaa versiota isommin. Postasin siksikin tuon tänne, jos muillakin on "set-it-and-forget-it" tyyppisesti Opnsense purkki ajossa, jotta nyt sitä saa vähän huoltaakin.
 
Juu, tuon olen tuosta järkeillyt. Tähän asti (lokakuu 23) tuohon 23.1 versioon on tullut automaattisesti päivitykset jne. mutta nyt tuo tosiaan ilmoitti, että pitää vaihtaa versiota isommin. Postasin siksikin tuon tänne, jos muillakin on "set-it-and-forget-it" tyyppisesti Opnsense purkki ajossa, jotta nyt sitä saa vähän huoltaakin.

Omassa käytössä tuo 23.1 -> 23.7 meni heittämällä ilman sen suurempia toimenpiteitä. Tosin en pidä automaattipäivityksiä päällä muutoinkaan, ajan päivityksen aina käsin säännöllisesti.
 
Omassa käytössä tuo 23.1 -> 23.7 meni heittämällä ilman sen suurempia toimenpiteitä. Tosin en pidä automaattipäivityksiä päällä muutoinkaan, ajan päivityksen aina käsin säännöllisesti.
Sama itselläni, mitenköhän saisin opnsensen huutelemaan uusista päivityksistä meiliin, pfSensellä muistaakseni onnistuin tässä jotenkin. VOinko muuten palauttaa opnsensen konffibackupin suoraan uuteen rautaan, vai pitääkö kaikki konffata käsin alusta. Backupin palauttamalla joutuisin säätämään korkeintaan interfacet uudelleen.
 
VOinko muuten palauttaa opnsensen konffibackupin suoraan uuteen rautaan, vai pitääkö kaikki konffata käsin alusta. Backupin palauttamalla joutuisin säätämään korkeintaan interfacet uudelleen.

Jokunen vuosi sitten siirryin PCengines apu4d2:sta Dellin SFF + i350-T4 rautaan; otin vanhasta backupin, editoin siitä interfacet vastaamaan uusia ja asensin uuteen koneeseen käyttäen muokattua backuppia. Tässä tapauksessa olisi saattanut jopa olla mahdollista käyttää backuppia sellaisenaan koska apu:n ja i350-T4:n NICit käyttävät samaa ajuria ja saavat samat nimetkin, mutta halusin järjestää ne vähän (itselleni) sopivammalla tavalla.
 
Testatkaa joku tuota backup siirtoa niin mun ei tarvitse ;)
Mulla on useampi proxmox opnsense testiversio mut en ole testannut.

Backupeista saako nuo palautuspisteet poistettua kaikki kerralla mulla nyt näköjään kaikki sallitut 60 kpl (täytyy vähentää sekoan) http://192.168.1.1/diag_confbak.php
 
nuo versiot menee vuosi/kuukausi, joten tammikuulta oli sinun edellinen versio. 23.7 taisi olla jo aika iso päivitys
OPNsenseltä tulee kaksi "isoa" feature-päivitystä vuodessa, minor -päivitykset VV.K.x ovat enemmän bugi- ja tietoturvakorjauksia

o The old DynDNS plugin was removed
Tämä on syytä katsoa tarkasti, jos tuota vanhaa ja toimivaa DynDNS-plugaria on käyttänyt. Kun viimeksi katsoin, niin se uusi virallisesti tuettu oli ihan **ska, eikä sillä voinut korvata niitä custom-käyttöjä mitä itsellä on
 
Viimeksi muokattu:
Löytyisikö muuten opnsenseen arpwatchin kaltaista pluginia jollainen meikäläisellä oli joskus pfSenseen asennettuna, tuolla sai oikein mukavasti ilmoitukset uusista laitteista suoraan meiliin.
 
Tuli hommattua kiinalainen pommi HUNSN RJ35. :D

61Xfkhe+8LL._AC_SL1500_.jpg


1695504759184.png

1695504772073.png

Prosessori: Intel i3-N305 eli Alder Lake-N sarjaa ja kaikki E-ytimiä.
Muisti: Crucial RAM 8GB DDR5 4800MHz (CT8G48C40S5)

Levy: Crucial P3 500GB M.2 PCIe Gen3 NVMe
Verkkokortit: 4 x 2.5GbE I226-V

Paketin virrankulutus on noin 12W idlessä kun kaksi verkkokorttia käytössä. Kaikki bios jutut on oletuksena ja täytyy katsoa vielä mitä säätöjä on prosessoriin. Lämmöt näyttää pysyvän hyvällä tasolla vaikka on fanless.
Aloin tämän perusteella vähän katsella kiinatarjontaa tarkemmin, STH:n Youtubessa tosiaan paljon näitä eri vaihtoehtoja pyörinyt. Hetken olin jo siirtymässä bare metalille pfSensen suhteen, mutta tulinkin vastaan tämä: The Fanless King Intel Core i5 6x 2.5GbE System Review by CWWK
Eli virtualisoituna saa homma edelleen jatkua. Tuon pitäsi pyöriä siellä vajaan 15 W kieppeillä idlessä. Eilen lähti tilaus suoraan CWWK:lle, katsotaan kuinka käy.
 
Aloin tämän perusteella vähän katsella kiinatarjontaa tarkemmin, STH:n Youtubessa tosiaan paljon näitä eri vaihtoehtoja pyörinyt. Hetken olin jo siirtymässä bare metalille pfSensen suhteen, mutta tulinkin vastaan tämä: The Fanless King Intel Core i5 6x 2.5GbE System Review by CWWK
Eli virtualisoituna saa homma edelleen jatkua. Tuon pitäsi pyöriä siellä vajaan 15 W kieppeillä idlessä. Eilen lähti tilaus suoraan CWWK:lle, katsotaan kuinka käy.
Tuolla STH foorumilla on lähtenyt muutamilla homma käsistä. Noihin kun saa tilattua vaikka mitä palikkaa. :lol:

1697790662600.png

1697790729099.png
 
Milläs ihmeellä tuon Opnsensen logituksen saa käännettyä/katsottua niin, että liikenne näytetään clientilta kohteeseen, kun defaulttina taitaa näytää gatewaylta kohteeseen?

Pari kertaa yrittänyt tehdä tuttavuutta kilpailevaan merkkiin koska tuo pfsensen siirtyminen closedsource-puolelle pitkässä juoksussa ei oikein enää miellytä, mutta turhautumistahan se on lähinnä aiheuttanut kun kaikki on hieman eri tavalla. Tosin niinhän se oli pfsensenkin kohdalla aikanaan dd-wrt:n jälkeen, mutta jospa sitä ajastaan oppisi opnsensenkin.
 
Virittelin Dual WANin käyttöön tuohon HUNSN RJ35 purkkiin. Mulla on kaksi liittymää eli Elisa ja DNA. DNA on Tier1 ja Elisa on Tier2 niin hyvin tuntuu toimivan kun irroitin DNA WAN kaapelin. NextDNS CLI myös hanskaa tuon muutoksen.
Mittasin Belkin Conserve Insight -energiamittarilla niin nyt laite vie 12.5W kun kolme verkkokorttia käytössä. Kahdella kortilla oli 11.6W.

Tässä HUNSN RJ35 purkissa on Intel® Ethernet Controller I226-V verkkokortit niin ne kuluttaa vähemmän kuin Intel® Ethernet Controller I225-V.


1697344994390.png
Itsellä samalla verkkokortilla pakko olla kiinteänopeus verkkokortilla.
Jos käyttää autoselectiä niin kortti jää jatkuvaan up/down tilaan verkkojohdon irti käyttämisen jälkeen.
En tosin ole jaksanu testailla onko Pfsense saanu asiansa kuntoon tuon suhteen.
1697959049089.png
 
***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 23.7.1_3 at Mon Oct 23 11:45:25 EEST 2023
Fetching changelog information, please wait... fetch: transfer timed out
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/23.7/latest/meta.txz: No address record
repository OPNsense has no meta file, using default settings

Mitähän tällaiselle voisi Opnsensellä tehdä, kun yrittää hakea päivityksiä. En oikein näistä verkkoasioista ymmärrä, niin en edes tiedä, mistä lähteä liikkeelle. Jostain syystä ei päivitysten haku enää toimi. Mielestäni muilla laitteilla netti ja palvelut kuitenkin toimivat täysin normaalisti.

ping opensense.org toimii, mutta pkg.opensense.com ping sanoo, että sellaista hostia ei löydy.
 
***GOT REQUEST TO CHECK FOR UPDATES***
Currently running OPNsense 23.7.1_3 at Mon Oct 23 11:45:25 EEST 2023
Fetching changelog information, please wait... fetch: transfer timed out
Updating OPNsense repository catalogue...
pkg: https://pkg.opnsense.org/FreeBSD:13:amd64/23.7/latest/meta.txz: No address record
repository OPNsense has no meta file, using default settings

Mitähän tällaiselle voisi Opnsensellä tehdä, kun yrittää hakea päivityksiä. En oikein näistä verkkoasioista ymmärrä, niin en edes tiedä, mistä lähteä liikkeelle. Jostain syystä ei päivitysten haku enää toimi. Mielestäni muilla laitteilla netti ja palvelut kuitenkin toimivat täysin normaalisti.

ping opensense.org toimii, mutta pkg.opensense.com ping sanoo, että sellaista hostia ei löydy.
Kokeile sieltä asetuksista (sen updaterin) vaihtaa serveri. Esim ruotsin c0urier.net on itsellä ollut vakaa ja nopea
 

Statistiikka

Viestiketjuista
262 831
Viestejä
4 567 316
Jäsenet
75 029
Uusin jäsen
Wisbargo

Hinta.fi

Back
Ylös Bottom